Une étude BlackFog révèle l’étendue du phénomène « Shadow IA » et les risques de fuite de données qui en découlent, alors que les dirigeants eux-mêmes privilégient la productivité à la sécurité ce qui accélère encore le déploiement d’usages IA en dehors de tout contrôle des DSI.
Soixante-neuf pour cent des dirigeants d’entreprises arbitrent en faveur de la vitesse avant la confidentialité ou la sécurité. Ce chiffre, issu d’une enquête BlackFog, résume à lui seul le terreau fertile sur lequel prospère la Shadow IA en entreprise. Ce sont bien les dirigeants qui affichent la plus forte propension à contourner les règles de la DSI en matière d’adoption contrôlée de l’IA : 69 % des présidents et membres de la direction générale estiment que la rapidité d’exécution prime sur la sécurité, contre seulement 37 % des fonctions administratives.
Plus largement, 60 % des répondants jugent acceptable de prendre des risques sécuritaires si cela leur permet de travailler plus vite ou de respecter leurs délais.
La quête de productivité influence les comportements
L’intelligence artificielle s’est imposée dans le quotidien professionnel : 86 % des employés déclarent utiliser des outils d’IA au moins une fois par semaine. Mais cette adoption massive s’accompagne d’un angle mort préoccupant pour les équipes IT et sécurité : 49 % des salariés reconnaissent utiliser des outils IA non approuvés par leur employeur.
La Shadow IA n’est donc pas qu’une lubie médiatique. Elle est bien une réalité de terrain dont l’ampleur est croissante. La Shadow IA se niche précisément dans l’écart entre les usages réels et les outils officiellement encadrés. Plus d’un tiers des 2000 collaborateurs interrogés (34%) admettent utiliser des versions gratuites d’outils pourtant “approuvés” par l’entreprise, un détail loin d’être anodin quand ces offres ne garantissent pas le même niveau de contrôle, d’hébergement, de gouvernance ou de confidentialité que les déclinaisons entreprise.
Parmi les salariés qui recourent à des outils non approuvés par leur employeur, 58% indiquent d’ailleurs utiliser des versions gratuites dépourvues de tout contrôle et de toute confidentialité.
L’étude met ensuite en évidence une tolérance au risque assumée. Ainsi, 63% des répondants jugent « acceptable » d’utiliser des outils d’IA sans supervision IT lorsqu’aucune alternative validée n’existe. Et 60% considèrent que recourir à des outils non validés « vaut » le risque de sécurité si cela permet d’aller plus vite ou de tenir des délais.
Cette culture du « résultat avant tout » se traduit concrètement par des comportements à risque. Un tiers des employés (33 %) admettent avoir partagé des données de recherche ou des jeux de données sur des outils non approuvés, 27 % y ont transmis des informations RH (noms, paie, évaluations) et 23 % des données financières.
Un vaste risque
Plus inquiétant encore, 51 % des répondants ont connecté des outils IA à d’autres systèmes de l’entreprise sans validation préalable de la DSI. À ce niveau, la fuite potentielle n’est plus un simple copier-coller : l’IA devient un maillon intégré à la chaîne de production, avec des transferts de données plus fréquents, parfois automatisés, et une traçabilité souvent insuffisante.
Dit autrement, la Shadow IA ne se limite pas à des requêtes anodines : elle touche au cœur du patrimoine informationnel !
« Cette étude illustre non seulement l’ampleur de l’utilisation d’outils IA non approuvés, mais aussi le niveau de tolérance au risque des employés et des dirigeants », commente Darren Williams, CEO de BlackFog. « C’est un signal d’alarme pour les équipes sécurité, qui doivent renforcer leur visibilité sur ces angles morts. L’IA est désormais ancrée dans notre environnement de travail, mais cela ne peut se faire au détriment de la sécurité et de la confidentialité des données. »
Vu l’ampleur, les DSI vont devoir rapidement réagir et adapter leur stratégie. D’une part, il va falloir valider plus rapidement et plus largement des alternatives approuvées par l’entreprise tout en déployant des solutions d’observabilité et de surveillance capables de détecter les usages IA, l’exfiltration de données sensibles et de cadrer les comportements des utilisateurs.
puis